Une faille dans Okta a permis l’accès sans mot de passe si l’identifiant faisait plus de 52 caractères.
Le 30 octobre 2024, Okta a identifié une faille de sécurité dans le système d’authentification déléguée AD/LDAP (DelAuth), affectant les comptes avec des noms d’utilisateur de 52 caractères ou plus.
Signalée en interne, cette faille, apparue en juillet 2024 a permis, dans certaines conditions telles qu’un trafic élevé ou une panne d’argent, une authentification en utilisant uniquement le nom d’utilisateur sans mot de passe.
Identifiant sans mot de passe
Le problème provenait de la génération de clés de cache d’Okta, où l’algorithme Bcrypt hashait une combinaison de userID + nom d’utilisateur + mot de passe.
Cette configuration a permis un accès potentiel aux comptes avec des noms d’utilisateur plus longs en raison de la rétention des clés de cache des connexions précédentes réussies.
Dans son post, Okta a mentionné avoir résolu le problème en passant au processus de “hashage” utilisant l’algorithme cryptographique PBKDF2.
Who needs a password when your username is longer than 52 characters? /s
— Henrique Pereira (@ikkebr) November 2, 2024
La faille a impacté l’authentification déléguée AD/LDAP d’Okta pour les utilisateurs répondant à des conditions spécifiques.
Pour l’exploiter, les noms d’utilisateur devaient dépasser 52 caractères, et les demandes d’authentification devaient atteindre une clé mise en cache des sessions précédentes, sans facteurs d’authentification supplémentaires requis.
Okta a conseillé aux clients de vérifier les journaux système entre le 23 juillet et le 30 octobre 2024 pour identifier une potentielle utilisation abusive de cette faille.
En outre, l’entreprise recommande aux clients présentant des configurations à fort trafic ou des politiques d’authentification sans mesures de sécurité supplémentaires, comme l’authentification multifacteur (MFA) – une des fonctionnalités phares des gestionnaires de mots de passe -, de revoir leurs configurations et journaux système.
Ces configurations pourraient être plus susceptibles aux exploitations de cette faille.
Okta vise plus de sécurité après la détection de plusieurs failles
Dans ses derniers rapports, Okta met l’accent sur les mesures pour renforcer la sécurité.
Bien que la MFA puisse atténuer les risques, la résolution d’Okta assure que les clés en cache sont désormais mieux protégées contre les exploitations potentielles.
Les clients reçoivent maintenant des notifications plus détaillées sur les mises à jour des avis et les mesures de résolution.
Ce n’est pas la première faille à laquelle Okta fait face dernièrement. Plus tôt dans l’année, l’entreprise a fait face à une fuite de données de ses systèmes.
This is the third serious security breach at Okta in ~2 years.
Okta sells security as a service: and yet it cannot secure itself. In the past we know it did not follow security 101. Yet another inexplainable incident.
Who can trust Okta after all this? https://t.co/SQAFKa7GZ7
— Gergely Orosz (@GergelyOrosz) November 2, 2024
L’année dernière, Okta avait subi une autre attaque, entraînant un réexamen de tous ses clients